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Die Philips Corporate Intellectual Property GmbH in Hamburg/Deutschland hat eine 
Patentanmeldung unter der Bezeichnung 

"Verschliisselungsverfahren zum Ausfuhren von 
kryptographischen Operationen" 
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Die angehetteten Stucke sind eine richtige und genaue Wiedergabe der urspriinglichen 
Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und IVIarkenamt voriaufig die Symbole 
H 04 L und G 06 F der Internationalen Patentklassifikation erhalten. 
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Beschreibung 

Verschlusselunasverfahren zum Ausfu hren von krvptoqraphischen 

Qperationen 

5 

Technisches Gebiet 

Die Erfindung betrifft ein Verschlusselungsverfahreri, wobei wenigstens 
eine kryptographische Teiloperation yi=fi(Xi. kO von digital als Datenbit- 
worte gespeicherten Daten Xj, kj ausgefulirt und das jeweilige Ergebnis 

10 bzw. jeweilige Zwischenergebnisse y-, digital als Datenbitworte abgespei- 
chert bzw. zwlschengespeichert werden, gemall dem Oberbegriff des An- 
spruchs 1 . Die Erfindung betrifft ferner eine Verschliisseiungsvorrichtung 
mit einer Berechnungseinheit und Registern Ri, wobei die Berechnungs- 
einineit wenigstens eine kryptographische Teiloperation yi=fi(Xi, ki) von di- 

15 gital in den Registern Ri der Verschlusselungsvorrichtung als Datenbit- 
worte gespeicherten Operanden Xj. ki ausfuhrt und das jeweilige Ergebnis 
bzw. Zwischenergebnisse y-, digital in den Registern Ri der Verschlusse- 
lungsvorrichtung als Datenbitworte abspeichert bzw. zwischenspeichert, 
gemaS dem Oberbegriff des Anspruchs 8. 



Stand der Technik 

In vielen Datenverarbeitungsgeraten dienen kryptographische Qperatio- 
nen zum Schutz des Betriebes dieser Gerate bzw. zum Schutz von in dem 
Gerat transportierten Daten. Die hierfur notwendigen Berechnungsopera- 

25 tionen werden dabei sowohl von Standard-Rechenwerken als auch von 
dedizierten Crypto-Rechenwerken durchgefuhrt. Ein typisches Beispiel fur 
letzteres sind Chipkarten bzw. IC-Karten. Bei derartigen kryptographi- 
schen Berechnungen, wie in Fig. 1 veranschaulicht, ist es oftmals not- 
wendig, entsprechende Speicherbereiche bzw. Register des Datenverar- 

30 beitungsgerates mit Operanden Xi, ki zu initialisieren. Wahrend der i-ten 



PHD 99-099 




10 




Berechnung werden ggf. Zwischenergebnisse y\ in Speicherbereichen 
Oder Registem Ri abgelegt oder abschlieSend das Ergebnis der Berech- 
nung zur Weiten/erarbeitung in Speicherbereichen oder Registern abge- 
legt. Das Register n befindet sich zwischen einer vorherigen i-ten krypto- 
graphischen Berechnung und einer nachfolgenden (i+1Hen kryptographi- 
schen Berechnung. Bel den in diesem Zusammenhang verwendeten Da- 
ten Xi, ki bzw. Zwischenergebnissen y\ handelt es sich ubiicherweise um 
sicherheitsrelevante Infomnationen, wie beispielsweise kryptographische 
Schlussel Oder Operanden. 



Zur Berechnung der kryptographischen Algorithmen werden in den Daten- 
verarbeitungsgeraten logische Verknupfungen zwischen Operanden kj 
bzw. Zwischenergebnissen y\ bzw. Xj, Xj+i durchgefuhrt. In Abhangigkeit 
von der verwendeten Technologie fuhren diese Operationen, insbesonde- 

15 re das Laden der Speicherbereiche bzw. Register mit Daten. zu einem 
erhohten Stromverbrauch der Datenverarbeitungsgerate. Bei komple- 
mentarer Logik, wie beispielsweise der CMOS-Technik, tritt ein erhphter 
Stromverbrauch dann auf, wenn der Wert einer Bit-Speicherzelle geandert 
wird, d.h. sein Wert sich von "0" auf "1" bzw. von "1" auf "0" andert. Der 

20 erhohte Verbrauch hangt dabei von der Anzahl der im Speicher bzw. Re- 
gister geanderten Bitstellen ab. Mit anderen Worten lasst das Laden eines 
zuvor geloschten Registers einen Stromverbrauch proportional zum 
Hamminggewicht des Operanden (=Anzahl der Bits mit dem Wert "1") 
bzw, der Differenz im Hamminggewicht ansteigen. Durch eine entspre- 

25 chende Analyse dieser Stromanderung konnte es moglich sein, Informa- 
tionen uber die berechneten Operationen zu extrahieren, so dass eine 
erfolgreiche Kryptoanalyse von geheimen Operanden, wie beispielsweise 
kryptographischen Schlussein, moglich ist. Mittels Durchfiihrung mehrerer 
Strommessungen am Daten verarbeitungsgerat konnten beispielsweise bei 

30 sehr kleinen Signalanderungen eine hinreichende Extraktion der Informa- 
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tionen ermoglicht werden. Andererseits konnten mehrere Strom messun- 
gen eine ggf. erforderliehe Differenzbildung ermoglichen. Diese Art der 
Kryptoanalyse wird auch als "Differential Power Analysis" bezeichnet, 
mittels derer ein AuSenstehender durch reine Beobachtung von Anderun- 
5 gen des Stromverbrauches des DatenverarbeitungsgerStes eine ggf. un- 
berechtigte Kryptoanalyse der kryptographischen Operationen, Algorith- 
men, Operanden bzw. Daten erfolgreich ausfiihren kann; 

Aus der US 5 297 201 ist es bekannt, einen Hochfrequenz abstrahlenden 
10 Computer mit einer Einrichtung zu kombinjeren, welche ebenfalls Hoch- 
frequenz ahrilich zu derjenigen des Computers abstrahlt. Dadurch ist es 
fur einen unberechtigten Dritten nicht mehr moglich, die Hochfrequenzab- 
strahlung des Computers zu dekodieren. Eine Kryptoanalyse durch einen 
Dritten, der unmittelbar Zugang zum Computer hat, kann dieses System 
15 jedoch nicht verhindem. 

Urn bei Chipkarten eine Korrelation zwischen einer Ausgabe eines Ergeb- 
nisses einer kryptographischen Operation bzw. einer Obertragung einer 
Schlusselinformation fQr eine kryptographischen Operation und der kryp- 

20 tographischen Operation selbst zu beseitigen ist es aus Patent Abstracts 
of Japan 10069222A bekannt, das Ergebnis der kryptographischen Ope- 
ration bzw. die Obertragung der Schlusselinfomnation fiir die kryptographi- 
schen Operationen zeitlich zu verzogem. Jedoch ist auch dieses System 
mittels der "Differential Power Analysis" analysierbar, da sich auch die 

25 verzogerte Datenubertragung im Stromverbrauch des Datenverarbei- 
tungsgerates verrat. 



30 



Darstelluna der Erfinduna. Aufoabe. Losuna. Vorteile 

Es ist Aufgabe der vortiegenden Erfindung, ein verbessertes Verfahren 

sowie eine verbesserte Vorrichtung der obengenannten Art zur Verfugung 
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zu stellen, wefche die obengenannten Nachteile beseitigen und eine er- 
folgreiche Kryptoanalyse mittels Beobachtung eines Stromverbrauches 
eines Datenverarbeitungsgerates wirksam verhindert. 

Diese Aufgabe wird durch ein Verfahren der o.g. Art mit den in Anspruch 1 
gekennzeichneten Merkmalen gelost. 
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Dazu ist as erfindungsgemaS vorgesehen, dass wenigstens eines der 
Daten Xi, kj und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis 
Vi in Abhangigkeit von einem auf Zufallszahlen basierenden Steuersignal n 
wahlweise bitweise zu ~y^^ und/oder y. komplementiert wird oder nicht. 



Dies hat den Vorteil, dass bei wiederholter Ausfuhrung derselben krypto- 
graphischen Operation andere Bitfolgen bearbeitet bzw. abgespeichert 

15 werden. so dass sich bei der jeweiligen Ausfuhrung einer kryptographi- 
schen Operation bzw. mehrerer kryptographischer Operationen andere 
Stromanderungen des Datenverarbeitungsgerates ergeben. Unabhangig 
vom eigentlichen Wert der Teilergebnisse wird somit bei wiederholter 
Ausfuhrung der Gesamtberechnung erreicht, dass jeder Datenpfad bei 

20 einer echten Zufallszahlenreihe gleichhaufig bzw. bei einer Pseudozufalls- 
zahlenreihe nahezu gleichhaufig von "0" auf "0", von "0" auf "1", von "1" 
auf "0" und von "1" auf "1" wechselt. Da jedoch das auf Zufallszahlen ba- 
sierende Steuersignal n nicht bekannt bzw. vorbestimmt ist, fehit eine Kor- 
relation zwischen den Stromanderungen und den Bitwerten der Daten und 

25 Ergebnisse, so dass eine "Differential Power Analysis" nicht mehr zu einer 
erfolgreichen Kryptoanalyse fiihrt. Mit anderen Worten enthalt der mittlere 
Stromverbrauch der Gesamtoperation keine brauchbare Information uber 
die verwendeten Teiloperanden bzw. Zwischenergebnisse in den Teilope- 
rationen. 
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Vorzugsweise Weitergestaltungen der Vorrichtung sind in den Anspruchen 
2 bis 7 beschrieben. 
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ZweckmaBigenweise werden in den kryptographischen Teiloperationen 
eine oder mehrere XOR-Verknufungen (Exklusiv-Oder-Verknufung) aus- 
gefuhrt. 

Die Daten umfassen beispielsweise kryptographische Schlussel und/oder 
Operanden. 



15 



In einer bevorzugten Ausfuhmngsform werden Zwischenergebnisse yi 
zwischen der Ausfuhrung von aufeinander folgenden kryptographischen 
Teiloperationen in einem Register Rj zwischengespeichert und als Ope- 
rand Xi+1 der nachfolgenden kryptographischen Teiloperationen zugefiihrt. 



20 



Zum Herstellen eines originalen, nicht invertierten Wertes nach jeder Tei- 
loperation wird eine aus dem Zwischenergebnis y\ einer vorangegangenen 
Teiloperation i erhaltene Bitfolge Xi+i = y\ fur eine nachfolgende Teiiopera- 
tion i+1 bitweise zu x^^i komplementiert. wenn die Daten Xi, kj der voran- 
gegangenen Teiloperation i bitweise komplementiert wurden. 



In einer besonders bevorzugten Ausfuhrungsform werden bei der bitwei- 
sen Komplementierung wenigstens ein Bitwert, insbesondere die geraden 
25 Bitwerte, die ungeraden Bitwerte oder alle Bitwerte. eines Datenbitwortes 
Xi, ki, bzw. yi invertiert. Hierbei ist es besonders vorteilhaft, wenn eine !n- 
vertierung von Bitwerten bzw. Bitadressen eines Datenbitwortes Xi. kj, bzw. 
yi bei der bitweisen Komplementierung mittels einer XOR-Operation (Ex- 
klusiv-Oder-Operation) durchgefuhrt wird. 



6 
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Bei einer Vorrichtung der o.g. Art ist erfindungsgemali wenigstens ein von 
einem Steuersignal n steuerbarer Inverter fur wenigstens eines der Daten 
Xj, ki und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis yi. ein 
Zufallszahlengenerator, welcher Zufallszahlen erzeugt, sowie eine Vor- 
richtung zum Erzeugen des Steuersignals n auf den Zufallszahlen basie- 
rend vorgesehen, wobei der steuerbare Inverter in Abhangigkeit von dem 
Steuersignal n wahlweise die Bitfolgen Xj, kj bzw. yi zu ihrem bitweisen 
Komplement x^.k^ bzw. umsetzt oder unverandert lasst. 

Dies hat den Vorteii, dass bei wiederholter Ausfuhrung derselben krypto- 
graphischen Operation andere Bitfolgen bearbeitet bzw. abgespeichert 
werden, so dass sich bei der jeweiligen Ausfuhrung der kryptographischen 
Operation b2:w. kryptographischen Operationen andere Stromanderungen 
des Datenverarbeitungsgerates ergeben. Unabhangig vom eigentlichen 
Wert der Teilergebnisse wird somit bei wiederholter Ausfuhrung der Ge- 
samtberechnung erreicht, dass jeder Datenpfad bei einer echten Zufalls- 
zahlenreihe gleichhaufig bzw. bei einer Pseudozufallszahlenreihe nahezu 
gleichhaufig von "0" auf "0", von "0" auf "1", von "1" auf "0" und von "1" 
auf "1" wechselt. Da jedoch das auf Zufallszahlen basierende Steuersi- 
gnal n nicht bekannt bzw. vorbestimmt ist, fehit eine Korrelation zwischen 
den Stromanderungen und den Bitwerten der Daten und Ergebnisse, so 
dass eine "Differential Power Analysis" nicht mehr zu einer erfoigreichen 

Kryptoanalyse fuhrt. Mit anderen Worten enthalt der mittlere Stromver- 

25 brauch der Gesamtoperation keine brauchbare Information uber die ver- 
wendeten Teiloperanden bzw. Zwischenergebnisse in den Teiloperatio- 
nen. 



15 



20 
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Vorzugsweise Weitergestaltungen der Vorrichtung sind in den Anspruchen 
9 bis 14 beschrieben. 

In einer bevorzugten Ausfuhmngsform ist wenigstens einem Register Rj 
5 ein Inverter nachgeschaltet, welcher das identische Steuersignal n erhalt, 
wie die der i-ten Teiloperation vorgeschalteten Inverter fur die Daten x,, kj. 
Dieser einem Register Ri der i-ten Teiloperation nachgeschaltete Inverter 
ist dabei bevorzugt mit einem der nachfolgenden (i+1)-ten Teiloperation 
vorgeschalteten Inverter fur ein Eingangsdatum Xi+i kombiniert. Der kom- 
10 binierte Inverter erhalt zweckmaSigerweise sowohl das Steuersignal n der 
vorangegangenen i-ten Teiloperation als auch das Steuersignal n+i der 
nachfolgenden (i+1)-ten Teiloperation. 

Die Daten umfassen beispielsweise kryptographische Schlussel und/oder 
15 Operanden. 

In einer bevorzugten Ausfuhrungsform speichert ein Register R* zwischen 
einer vorangegangenen i-ten Teiloperation und einer nachfolgenden (i+1)- 




ten Teiloperation ein Zwischenergebnis y\ der vorangegangenen i-ten 
20 Teiloperation und leitet dieses Zwischenergebnis als Eingangswert Xi+i an 



die nachfolgende (i+1)-te Teiloperation weiter. 

ZweckmaSigerweise invertiert die bitweise Komplementierung wenigstens 
einen Bitwert, insbesondere die geraden Bitwerte, die ungeraden Bitwerte 
25 Oder alle Bitwerte, eines Datenbitwortes Xj, kj, bzw. y\, 

Kurze Beschreibung der Zeichnungen 

Nachstehend wird die Erfindung anhand der beigefugten Zeichnungen 
naher eriautert. Diese zeigen in 
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Fig. 1 ein Ablaufschema eines Teiles einer kryptographischen Ope- 
ration gemali dem Stand der Technik, 

Fig. 2 ein Ablaufscliema eines Teiles einer ersten bevorzugten 
5 Ausfuhrungsform einer erfindungsgemaBen kryptographi- 

schen Operation und 

Fig. 3 ein Ablaufschema eines Teiles einer zweiten bevorzugten 
Ausfuhrungsform einer erfindungsgemaBen kryptographi- 
10 schen Operation. 

Bester Weg zur Ausfuhrunq der Erfindung 

Bel der in Fig. 2 dargestellten ersten bevorzugten Ausfuhrungsform eines 
erfindungsgemafien Verschlusselungsverfahrens wird durch eine Kette 

15 von Teiloperationen fi(x,. kj), innerhalb derer ein oder mehrere logische 
XOR-Verknupfungen (Exklusiv-Oder-Verknupfung) ausgefuhrt werden, 
eine kryptographische Gesamtoperation durchgefuhrt. Dargestellt sind 
zwei Teiloperationen, namlich die i-te Teiloperation 10 und die (i+1)-te 
Teiloperation 12, wobei jede Teiloperation von einer Berechnungseinheit 

20 ausgefuhrt wird, Jeder Teiloperation 10. 12 ist eine Speicherzelle oder ein 
Register Rj 14 bzw. eine Speicherzelle oder ein Register Rj 16 nachge- 
schaltet. Jede Teiloperation 10. 12 hat als Eingangswert ein Datum Xj, Xi+i 
sowie einen Operanden kj. kj+i, welche als Datenbitworte zur Verfugung 
stehen. 

25 

Jeder Teiloperation 10. 12 vorgeschaltet ist jeweils ein steuerbarer Inver- 
ter 18 bzw. 20 fur die Daten Xi, Xi+i sowie jeweils ein steuerbarer Inverter 
22. 24 fur die Operanden kj. kj+i. Ferner ist bei jeder Teiloperation 10. 12 
dem jeweiligen Register Rj 14 bzw. Rj+i 16 ein steuerbarer Inverter 26, 28 
30 fur das Zwischenergebnis yi. yi+i nachgeschaltet, wobei dieses Zwischen- 
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ergebnis von dem jeweiligen Register Rj 14 bzw. Ri+i 16 als Eingangsda- 
ten Xj+1 bzw. Xi+2 an eine nachfolgende Teiloperation 12 weiter gegeben 
werden. Diese Inverter 18 bis 28 sind durch ein Steuersignal n bzw. n+i 
derart steuerbar, dass sie in Abhangigkeit von dem jeweiligen Steuersi- 
5 gnal n bzw. n+i wahlweise die zugeordneten Datenbitworte bitweise kom- 
plementieren oder nicht. Hierbei erhalten alle Inverter 18, 22. 26 bzw. 20, 
24, 28 einer Teiloperation 10 bzw. 12 dasselbe Steuersignal n bzw. n+i. 
Mit anderen Worten wird die Entscheidung, ob eine Invertierung der ent- 
sprechenden Eingangswerte der Inverter 1 8 bis 28 durchgefuhrt wird oder 

10 ob die Eingangswerte unbearbeitet die Inverter 18 bis 28 durchlaufen, 
durch das zusatzliche Steuersignal n bzw. n+i entschieden. Diese Anord- 
nung von Registem 14, 16 zwischen Teiloperationen 10, 12 findet vor al- 
lem dann Anwendung, wenn die Teiloperationen 10, 12 zeitlich nachein- 
ander von ein und derselben Einheit berechnet werden und somit die 

15 Teilergebnisse zwischengespeichert werden mussen. 

Das Steuersignal wird durch Zufallswerte aus einem Zufallsgenerator da- 
hingehend gesteuert, dass die Teiloperation abhangig vom Wert der Zu- 
fallszahlen entweder das Originalergebnis y = f(x, k) oder das bitinvertierte 

20 Ergebnis y = f{x,k) liefert. Hierdurch wird realisiert, dass sowohl die 
Berechnung als auch die Speicherung der Daten in den Registern Rj 14, 
18 entweder mit Originalwerten oder mit bitinvertierten Werten durchge- 
fuhrt wird. Unabhangig vom eigentlichen Wert der Teilergebnisse wird 
somit bei wiederholter Ausfuhrung der Gesamtberechnung erreicht. dass 

25 jeder Datenpfad gleich haufig von "0" auf "0", von "0" auf "1", von "1" auf 
"0" und von "1" auf "1" wechselt. Der mittlere Stromverbrauch der Ge- 
samtoperation enthalt somit keine brauchbare Information uber die ver- 
wendeten Teiloperanden kj bzw. Zwischenergebnisse y\ in den Teilopera- 
tionen 10, 12. Der dem Register 14, 16 nachgeschaltete Inverter 26, 28 



stellt fur die folgende Teiloperation 12 wieder den originalen, nicht inver- 
tierten Wert her. 

Die zweite bevorzugte Ausfuhrungsform des erfindungsgemaSen Ver- 
5 schlusselungsverfalirens gemali Fig. 3 entspricht der ersten Ausfuh- 
ajngsform von Fig. 2 mit dem einzigen Unterschied, dass die den Regi- 
stern 14, 16 nachgeschalteten Inverter 26, 28 mit dem jeweiligen Ein- 
gangsinverter 20 der folgenden Stufe 12 zu einem Inverter 30 kombiniert 
sind. 

10 

Die Inverter invertieren beispielsweise auch nur einen Teil der Bitwerte 
des jeweiligen Datenbitwortes. So werden beispielsweise nur die geraden 
Oder ungeradeh Bitworte bzw. Bitadressen invertiert. Die Invertierung der 
Bitwerte erfolgt beispielsweise mittels einer XOR-Operation (Exklusiv- 
1 5 Oder-Operation) . 



10 
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1. Verschlusselungsverfahren, wobei wenigstens eine kryptographi- 
sche Teiloperation yi=fi(Xi, kj) von digital als Datenbitworte gespei- 
cherten Daten x,, ki ausgefiilirt und das jeweilige Ergebnis bzw. je- 
weilige Zwischenergebnisse yi digital als Datenbitworte abgespei- 

10 chert bzw. zwischengespeichert werden, 

dadurch gekennzeichnet, dass 

wenigstens eines der Daten x,. k\ und/oder das Ergebnis bzw. we- 
nigstens Bin Zwischenergebnis yj in Abhangigkeit von einem auf 
Zufallszahlen basierenden Steuersignal n wahlweise bitweise zu 
15 X., und/oder komplementiert wird oder nicht. 

2. Verschlusselungsverfahren nach Anspruch 1, 
dadurch gekennzeichnet. dass 

in den kryptographischen Teiloperationen eine oder mehrere XOR- 
20 Verknupfungen (Exklusiv-Oder-Verknupfung) ausgefuhrt werden. 

3. Verschlusselungsverfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, dass 

die Daten kryptographische Schlussel und/oder Qpfiranrjen umfas- 

25 sen. 



4. 



Verschlusselungsverfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, dass 
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Zwischenergebnisse y\ zwischen der Ausfuhmng von aufeinander 
folgenden kryptographischen Teiloperationen in einem Register Rj 
zwischengespeichert und als Operand Xj+i der nachfolgenden 
kryptographischen Teiloperationen zugefuhrt werden. 

5 ■ . 

5. Verschlusselungsverfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, dass 

eine aus dem Zwischenergebnis y, einer vorangegangenen Teilope- 
10 ration i erhaltene Bitfolge x,+i = y\ fur eine nachfolgende Teiloperati- 

on 1+1 bitweise zu x^^^ komplementiert wird, wenn die Daten Xj, kj 

der vorangegangenen Teiloperation i bitweise komplementiert war- 
den. 

15 6. Verschlusselungsverfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, dass 

bei der bitweisen Komplementierung wenigstens ein Bitwert. insbe- 
sondere die geraden Bitwerte, die ungeraden Bitwerte oder alle 
20 Bitwerte, eines Daten bitwortes Xj, kj. bzw. y\ invertiert werden. 

7. Verschlusselungsverfahren nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, dass 

25 eine Invertierung von Bitwerten bzw. Bitadresseh eines . Datenbit- 

wortes Xj. kj, biiw. y\ bei der bitweisen Komplementierung mitteis ei- 
ner XOR-Operation (Exklusiv-Oder-Operation) durchgefuhrt wird. 
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8. Verschlusselungsvorrichtung mit einer Berechnungseinheit und 
Registem Rj (14, 16). wobei die Berechnungseinheit wenigstens ei- 
ne kryptographische Teiloperation yi=fi(Xi, ki) (10, 12) von digital in 
den Registern Rj (14, 16) der Verschlusselungsvorrichtung als Da- 

5 tenbitworte gespeicherten Operanden Xi, ki ausfuhrt und das jewei- 

lige Ergebnis bzw. Zwischenergebnisse y\ digital in den Registern Rj 
(14, 16) der Verschlusselungsvorrichtung als Datenbitworte abspei- 
chert bzw. zwischenspeichert, 
dadurch gekennzeichnet, dass 

10 wenigstens ein von einem Steuersignal n steuerbarer Inverter (18 

bis 28; 30) fur wenigstens eines der Daten Xj, kj und/oder das Er- 
gebnis bzw. wenigstens ein Zwischenergebnis yi, ein Zufallszahlen- 
generator, welcher Zufallszahlen erzeugt. sowie eine Vorrichtung 
zum Erzeugen des Steuersignal n auf den Zufallszahlen basierend 

15 vorgesehen ist, wobei der steuerbare Inverter (18 bis 28; 30) in Ab- 

hangigkeit von dem Steuersignals n wahlweise die Bitfolgen Xi, kj 
bzw. yi zu ihrem bitweisen Komplement x; , bzw. x umsetzt oder 
unverandert lasst. 



20 9. Verschlusselungsvorrichtung nach Anspruch 8, 
dadurch gekennzeichnet, dass 

wenigstens einem Register Rj (14. 16) ein Inverter (26, 28; 30) 
nachgeschaltet ist, welcher das identische Steuersignal n erhalt, 

wie die der i-ten Teiloperation (10. 12) voraeschalteten Inverter 

25 (18, 20) fur die Daten Xj, kj. 

10. Verschlusselungsvorrichtung nach Anspruch 9, 
dadurch gekennzeichnet, dass 
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der einem Register Rj (14, 16) der i-ten Teiloperation (10, 12) 
nachgeschaltete Inverter (26, 28) mit einem der nachfolgenden 
(i+1)-ten Teiloperation (12) vorgeschalteten Inverter (20) fur ein 
Eingangsdatum Xi+i kombiniert ist. 

5 

1 1 . Verschlusselungsvorrichtung nach Anspruch 10, 
dadurch gekennzeichnet. dass 

der kombinierte Inverter (30) sowohl das Steuersignal n der voran- 
gegangenen i-ten Teiloperation (10) als auch das Steuersignal n+i 
10 der nachfolgenden (i+1)-ten Teiloperation (12) erhalt. 

12. Verschlusselungsvorrichtung nach einem der Anspruche 8 bis 1 1 , 
dadurch gekennzeichnet, dass 

die Daten kryptographische Schlussel und/oder Operanden umfas- 
15 sen. 

13. Verschlusselungsvorrichtung nach einem der Anspruche 8 bis 12, 
dadurch gekennzeichnet, dass 

ein Register Rj (14, 16) zwischen einer vorangegangenen i-ten 
20 Teiloperation (10) und einer nachfolgenden (i+1)-ten Teiloperation 

(12) ein Zwischenergebnis y\ der vorangegangenen i-ten Teilopera- 
tion (10) speichert und dieses Zwischenergebnis als Eingangswert 
Xi+1 an die nachfolgende (i+1)-te Teiloperation (12) weiterleitet. 

25 14. Verschlusselungsvorrichtung nach einem der Anspruche 8 bis 13, 
dadurch gekennzeichnet, dass 

die bitweise Komplementierung wenigstens einen Bitwert, insbe- 
sondere die geraden Bitwerte, die ungeraden Bitwerte oder alle 
Bitwerte, eines Datenbitwortes Xj. kj, bzw. y\ invertiert. 



16 



PHD 99-099 ' 



BEZUGSZEOCHEMLnSTE 



10 


i-te Teiloperation 


12 


(i+1 )-te Teiloperation 


14 


Register Ri 


16 


Register R+i 


18 


steuerbarer Inverter fur Xj 


20 


steuerbarer Inverter fur Xi+i 


22 


steuerbarer Inverter fur kj 


24 


steuerbarer Inverter fur ki+i 


26 


steuerbarer Inverter fiir y, 


28 


steuerbarer Inverter fur yi+i 


30 


kombinierter Inverter 
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. Zysammeinifassurtigi 

Die vorliegende Erfindung betrifft eine Verschlusselungsverfahren sowie 
eine Verschlusselungsvorrichtung, wobei wenigstens eine kryptographi- 

5 sche Teiloperation yi=fi(Xi, kj) von digital als Datenbitworte gespeicherten 
Daten Xi, kj ausgefuhrt und das jeweilige Ergebnis bzw. jeweilige Zwi- 
schenergebnisse y\ digital als Datenbitworte abgespeichert bzw. zwi- 
schengespeichert werden. Hierbei wird wenigstens eines der Daten Xj, k\ 
und/oder das Ergebnis bzw. wenigstens ein Zwischenergebnis yi in Ab- 

10 hangigkeit von einem auf Zufallszahlen basierenden Steuersignal n wahl- 
weise bitweise zu 3c,-, und/oder komplementiert oder nicht, (Fig. 2) 



